一種基于NDIS網(wǎng)絡(luò)數(shù)據(jù)包過濾器的設(shè)計

1、 萬方數(shù)據(jù) 萬方數(shù)據(jù) 萬方數(shù)據(jù) 一種基于NDIS網(wǎng)絡(luò)數(shù)據(jù)包過濾器的設(shè)計作者:楊永杰, 馮軍, 謝正光, Yang Yongjie, Feng Jun, Xie Zhengguang作者單位:南通大學(xué)電子信息學(xué)院,江蘇,南通,226007刊名: 計算機應(yīng)用與軟件英文刊名:COMPUTER APPLICATIONS AND SOFTWARE年,卷(期:2010,27(7被引用次數(shù):0次參考文獻(xiàn)(4條2.Floroiu J W.Ionescu T C.Ruppelt R Using NDIS intermediate drivers for extending the protocol stacka

2、 case study 2001相似文獻(xiàn)(10條2009,25(15介紹了網(wǎng)絡(luò)嗅探器的基本工作原理,提出了一種網(wǎng)絡(luò)嗅探器的設(shè)計思想,并給出其實現(xiàn)的關(guān)鍵技術(shù)和設(shè)計框架.該網(wǎng)絡(luò)嗅探器在實際應(yīng)用中發(fā)揮了重要的作用.3.學(xué)位論文王培宏作戰(zhàn)值班系統(tǒng)中IP流量過濾器的設(shè)計與實現(xiàn)2006隨著信息化建設(shè)的深入和互聯(lián)網(wǎng)的迅速發(fā)展,信息資源得到最大程度的共享。但是,信息化發(fā)展帶來的網(wǎng)絡(luò)安全和管理問題日漸凸出,成為企事業(yè)單位和部隊信息化建設(shè)需要解決的重要問題。雖然很多用戶使用了軟、硬件防火墻,但內(nèi)部網(wǎng)的管理人員對整個網(wǎng)絡(luò)的有效管控還是不夠的,為了更進(jìn)一步加強內(nèi)部網(wǎng)絡(luò)的管控,需要對科學(xué)有效的管理系統(tǒng)做進(jìn)一步研究開發(fā)。

3、IP流量過濾器是一個運行在Windows操作系統(tǒng)下、對進(jìn)出主機的網(wǎng)絡(luò)數(shù)據(jù)包按一定的規(guī)則進(jìn)行過濾并根據(jù)配置策略監(jiān)控用戶網(wǎng)絡(luò)應(yīng)用進(jìn)程的C/S模式軟件系統(tǒng)。其主要目的是丟棄不符合規(guī)則要求的流量、限制用戶非法訪問、提高網(wǎng)絡(luò)帶寬的利用率和加強專用網(wǎng)絡(luò)的監(jiān)控力度,實現(xiàn)網(wǎng)絡(luò)的基本安全保障和有效的網(wǎng)絡(luò)管理。系統(tǒng)基于C/S模式實現(xiàn),通過對服務(wù)器IP地址、服務(wù)端口、用戶相關(guān)信息等進(jìn)行配置,可以在用戶程序與服務(wù)器進(jìn)行通信時區(qū)分用戶類型?？蛻舳顺绦蛑С衷陂_機后的自動加載和運行,并提供用戶登錄驗證手段,根據(jù)用戶的角色分類、權(quán)限來判斷用戶的類別,從而確定用戶能夠執(zhí)行哪些應(yīng)用程序、使用哪些網(wǎng)絡(luò)服務(wù),為IP流量過濾等處理提供

4、依據(jù)。本文關(guān)鍵技術(shù):一是利用NDIS中間層驅(qū)動實現(xiàn)網(wǎng)絡(luò)數(shù)據(jù)包過濾;二是通過編寫的五個封裝的類實現(xiàn)對Windows操作系統(tǒng)應(yīng)用進(jìn)程的分類檢測,服務(wù)器端由MD5算法對應(yīng)用程序代碼產(chǎn)生定長特征碼,構(gòu)建特征庫,而客戶端按照同樣的算法產(chǎn)生特征碼,與從服務(wù)器端下載的特征庫進(jìn)行匹配,從而確定該用戶哪些應(yīng)用程序不能運行。本文給出了IP流量過濾器的設(shè)計與實現(xiàn)方法。ADO技術(shù)對數(shù)據(jù)庫數(shù)進(jìn)行操作、網(wǎng)絡(luò)編程技術(shù)實現(xiàn)網(wǎng)絡(luò)的連接、利用NDIS中間層驅(qū)動實現(xiàn)流量過濾、注冊表技術(shù)實現(xiàn)該軟件客戶端的自動運行、用VC編寫的封裝類對Windows操作系統(tǒng)應(yīng)用進(jìn)程的分類檢測等技術(shù)在系統(tǒng)實現(xiàn)過程中得到了應(yīng)用。2010(5本文分三部分介

5、紹了個人防火墻系統(tǒng)模型的設(shè)計.第一部分介紹了數(shù)據(jù)包過濾模塊的設(shè)計;第二部分進(jìn)程管理模塊實現(xiàn)了與Windows操作系統(tǒng)的任務(wù)管理器的任務(wù)管理部分的功能;第三部分端口掃描模塊在Windows平臺下使用套接口(SOCKET技術(shù)實現(xiàn)了把本機作為客戶端,把需要掃描的IP地址所在的機器作為服務(wù)器端端口掃描.5.學(xué)位論文梁亞舒基于NDIS的過濾框架設(shè)計與實現(xiàn)2007在Windows系統(tǒng)中,諸如NAT,防火墻等這類網(wǎng)絡(luò)應(yīng)用幾乎都是基于NDIS(Network Driver Interface Specification來實現(xiàn)的。實現(xiàn)包過濾的方法主要是書寫NDIS過濾驅(qū)動程序,它需要的技巧比較高,而且煩瑣,需要

6、考慮很多細(xì)節(jié),不利于快速開發(fā)各類過濾器。針對這種情況,本文設(shè)計并實現(xiàn)了一種基于NDIS的過濾框架,該框架具有一定程度上的可配置性,良好的可擴展性,并支持第三方開發(fā)。在該框架上進(jìn)行二次開發(fā),不必了解NDIS的任何細(xì)節(jié)問題,這樣有利于快速開發(fā)各類過濾器。同時,本文在基于該過濾框架的基礎(chǔ)上,實現(xiàn)了一個NAZT實例和一個防火墻實例。在討論防火墻實例的基礎(chǔ)上,針對規(guī)則集管理這個問題,我們進(jìn)行了詳細(xì)討論。隨著防火墻規(guī)則集的不斷龐大,有效管理這些規(guī)則變得越來越困難。當(dāng)添加規(guī)則時,新規(guī)則可能會與已有規(guī)則發(fā)生沖突,造成潛在的安全漏洞。要避免此漏洞產(chǎn)生,管理員必須正確地確定新規(guī)則插入的位置。而要實現(xiàn)這一目標(biāo),必須

7、找出與新規(guī)則相沖突的所有規(guī)則。但是,目前存在的沖突檢測算法,其時間復(fù)雜度為D(dN(N為規(guī)則個數(shù),d為規(guī)則維數(shù),效率低下?，F(xiàn)有的大多數(shù)防火墻,都采用優(yōu)先級的方式來處理規(guī)則間的沖突。但是,這種方式不僅不能從根本上化解規(guī)則沖突,而且會在一定程度上影響包分類的效率?；诖?本文針對現(xiàn)有規(guī)則集沖突檢測算法效率較低的這一情況,提出并實現(xiàn)了一種規(guī)則集沖突檢測算法。該算法不僅能找出與新規(guī)則相沖突的所有規(guī)則,且時間復(fù)雜度降為O(N+N斗N/w(w為機器字長,效率大為提高。同時,本文還提出并實現(xiàn)了一種基于規(guī)則分量分解的包分類算法,該規(guī)則在一定程度上提高了包分類效率,其時間復(fù)雜度為O(dN。6.期刊論文李笑濤網(wǎng)絡(luò)

8、分析軟件的體系結(jié)構(gòu)-北京廣播電視大學(xué)學(xué)報2001(32001年7月我們開發(fā)了網(wǎng)絡(luò)分析軟件NetMantis.作為網(wǎng)絡(luò)分析軟件NetMantis能夠捕捉網(wǎng)絡(luò)通信,對網(wǎng)絡(luò)帶寬利用率、數(shù)據(jù)丟失率和時延等性能參數(shù)進(jìn)行統(tǒng)計、分析.捕捉是分析的基礎(chǔ),通常,捕捉網(wǎng)絡(luò)通信依靠內(nèi)核捕捉組件完成.BPF(Berkeley Packet Filter是最著名的捕捉組件,它適用于BSDUNIX.NPF(Netgroup Packet Filter是與BPF兼容的全新實現(xiàn),在Windows環(huán)境下工作.本文將介紹如何在NPF基礎(chǔ)上構(gòu)造網(wǎng)絡(luò)分析軟件.7.學(xué)位論文李林網(wǎng)絡(luò)集成防御系統(tǒng)下插件式防火墻設(shè)計與實現(xiàn)2006基于win

9、dows平臺的大多數(shù)防火墻,都存在著以下兩類問題:第一,隨著攻擊方式迅速變化,防御手段也應(yīng)隨之而改變,這就要求在原有的防火墻系統(tǒng)上,能夠快速地開發(fā)出過濾器以應(yīng)對攻擊,即要求其具有良好的可擴展性。但是,現(xiàn)有的防火墻產(chǎn)品多數(shù)缺乏可擴展性,不支持第三方開發(fā);另一方面,這些產(chǎn)品大多基于NDIS技術(shù)來實現(xiàn),而該技術(shù)紛繁復(fù)雜,不利于快速開發(fā)各類過濾器。第二,隨著防火墻規(guī)則集的不斷龐大,有效管理這些規(guī)則變得越來越困難。當(dāng)添加規(guī)則時,新規(guī)則可能會與已有規(guī)則發(fā)生沖突,造成潛在的安全漏洞。要避免此漏洞產(chǎn)生,管理員必須正確地確定新規(guī)則插入的位置。而要實現(xiàn)這一目標(biāo),必須找出與新規(guī)則相沖突的所有規(guī)則。但是,目前存在的沖

10、突檢測算法,其時間復(fù)雜度為O(dN(N為規(guī)則個數(shù),d為規(guī)則維數(shù),效率低下?，F(xiàn)有的大多數(shù)防火墻,都采用優(yōu)先級的方式來處理規(guī)則間的沖突。但是,這種方式不僅不能從根本上化解規(guī)則沖突,而且,會在一定程度上影響包分類的效率。針對這兩種情況,本文設(shè)計并實現(xiàn)了一種插件式防火墻。該防火墻主要包括兩個部分:基于NDIS的插件式框架和構(gòu)建于該框架上的防火墻實例。插件式框架具有一定程度上的可配置性,良好的可擴展性,并支持第三方開發(fā)。在該框架上進(jìn)行二次開發(fā),不必了解NDIS的任何細(xì)節(jié)問題,這樣有利于快速開發(fā)各類過濾器。構(gòu)建于該框架上的防火墻實例,實現(xiàn)了狀態(tài)包檢測型防火墻的基本功能,從一個側(cè)面佐證了框架的特性。針對現(xiàn)有

11、規(guī)則集沖突檢測算法效率較低的這一情況,該實例提出并實現(xiàn)了一種基于單維交集的規(guī)則集沖突檢測算法。該算法不僅能找出與新規(guī)則相沖突的所有規(guī)則,且時間復(fù)雜度降為O(logN+N/w(w為機器字長,效率大為提高。在單維交集沖突檢測算法基礎(chǔ)之上,防火墻實例提出并實現(xiàn)了一種基于規(guī)則分量分解的沖突化解辦法。該辦法不僅能夠從根本上消除沖突,而且有利于提高包分類效率,還使得規(guī)則集具備“所見即所得”的特性。在規(guī)則集沖突化解的基礎(chǔ)之上,防火墻實例提出并實現(xiàn)了一種基于規(guī)則分量分解的包分類算法。由于規(guī)則集不存在相沖突的規(guī)則,因此,在進(jìn)行規(guī)則匹配時,該算法不需要查找沖突規(guī)則,從而在一定程度上提高了包分類效率,其時間復(fù)雜度為

12、O(dlogN。2004,28(5文中就Windows系列平臺下常用的監(jiān)測實現(xiàn)技術(shù)進(jìn)行了討論,包括應(yīng)用層實現(xiàn)的Winsock服務(wù)提供者接口(SPI 和原始套接字,以及系統(tǒng)核心層實現(xiàn)的傳輸層過濾驅(qū)動程序、過濾器鉤子(Filter-Hook驅(qū)動程序、中間驅(qū)動程序(IMP、NDIS HOOK 驅(qū)動程序等不同的實現(xiàn)方法及其特點,在此基礎(chǔ)上詳細(xì)論述了中間驅(qū)動程序的實現(xiàn).9.學(xué)位論文管瑞峰基于寬帶網(wǎng)的DVB接收系統(tǒng)的軟件設(shè)計及其實現(xiàn)2002DVB體系的應(yīng)用起始于直播衛(wèi)星系統(tǒng),后來逐漸被有線電視系統(tǒng)采用,由于Internet的崛起,有人開始了基于Internet的DVB系統(tǒng)的研究,可是Internet帶寬低

13、,錯誤率高,這些Internet網(wǎng)絡(luò)固有的局限性,限制了需要大量數(shù)據(jù)的傳播的DVB系統(tǒng)的廣泛應(yīng)用.采用廣播電視系統(tǒng)的有線電視高速寬帶網(wǎng)絡(luò),并且通過利用DVB標(biāo)準(zhǔn)中規(guī)定的各種控制信息,以PC機為客戶端,實現(xiàn)了基于寬帶的DVB接收系統(tǒng).這個接收系統(tǒng)采用Windows平臺,硬件采用專用接收瞳接收DVB廣播數(shù)據(jù);驅(qū)動軟件部分采用NDIS體系結(jié)構(gòu),這樣的體系結(jié)構(gòu)能夠易于在各個Windows平臺中移植;應(yīng)用軟件部分采用DirectShow中的過濾器結(jié)構(gòu),實現(xiàn)了一個SourceFilter,這樣可以使用通用的控制媒體播放器MediaPlayer來播放MPEG節(jié)目,又能夠控制媒體流的播放.通過測試,該DVB接收系統(tǒng)能夠同時完成MPEG-2TMPEG-1格式的播放以及文件的下載.數(shù)據(jù)包截獲機制是網(wǎng)絡(luò)性能分析工具和網(wǎng)絡(luò)安全工具的實現(xiàn)基礎(chǔ).UNIX系統(tǒng)下可利用基于網(wǎng)卡的混雜方式BPF、DLP